안녕하세요. 님께서 올려주신 윈도우즈 인증서 서비스 이야기쪽 관련해서 잘 보고 있습니다.

여지껏 관련정보를 찾던중 님께서 올리신 내용이 가장 이해가 쉽고 잘따라할수 있어서 너무 기쁩니다.

이런저런 내용을 확인하던중에 궁금한 사항이 있어서 이렇게 메일을 보냅니다.

죄송하지만 현재 이부분으로 인해서 제가 맡고있는 프로젝트가 시일이 지연되고 있습니다. ㅜㅜ

다름이 아니오라

한국서버는 윈도우 2003 환경에 http 입니다.
미국서버는 php화일 링크 주소를 주고 연결하라는군요 이곳은 https 입니다. (어떤 환경인지는 모르겠습니다. 다만 php라니까 리눅스환경일꺼라는 생각만 할뿐입니다.)

이런저런 정보를 찾던중 인증부분에서 계속 에러나는걸 확인하였습니다. 또 ms 본사에도 연락해보니(유료더군요 엄청비싸고 무조건 인증서를 받아오라는군요)
역시 2003 환경에서 서버셋팅으로 인증서를 설치해야댄다는군요.

그런데 문제는 미국에서 이러한 사항을 이해를 못하고 있습니다.
그래서 확장자 pfx화일인 개인키를 담고있는 인증서를 달라고해도 전혀 무슨 내용인지를 몰라하고 있는 현실입니다. 아주 답답한 것이지요. 커뮤니케이션도 힘들뿐더러

여기서 한가지 질문이 있습니다. 미국에서 제공한 php화일을 접속해보니 즉 other people 이부분에 인증서가 있더군요
여기내용을 확인해보니 역시나 공개키로 작성된 인증서 였습니다.
하단의 You have a private key that corresponds to this certificate 이러한 내용도 없는것으로 보아 공개키인 인증서 같습니다.

이부분때문에 현재 http 에서 https를 연결시
A certificate is required to complete client authentication
클라이언트 인증을 완료하려면 인증서가 필요합니다. 계속 이에러가 지속 되고있습니다.

만약 공개키로도 할수 있는 방법이 있을까요. 내보내기 가져오기 별의 별짓을 하던중 확장자가 cer인 인증서는 만들어지더군요.

인증서 변환관련해서 또 정보를 찾기도 했으나 이런저런 지식의 부족으로 이해를 못하고 있습니다.

이부분은 정말 그쪽 미국서버에서 인증서를 확장자 pfx화일로 만들어서 저희쪽에 주면 그걸 등록해야 서비스가 이루어지는건가요?

그렇다면 한국서버에 만약 인증서를 설치한다면 한국에서 다른유저들은 한국서버로 들어와서 이곳을 통해 미국서버에 접속되는데 그렇게 될경우

고객들은 인증서부분에 관해서 특별한 설치가 없는건지. 내용을 확인하다보니까 xp 즉 고객페이지에서도 어떠한 방법을 요구하던데

고객페이지에서는 자동으로 되게끔 하는 방법은 없을까요. 오로지 한국서버와 미국서버에서 프로세스가 이루어지고 고객은 한국서버를 통해서 그냥 서비스가 이루어지도록

하는 방법은 없는걸까요?

아 그리고 인증서 부분에 만기일이 있던데 만약 미국쪽에서 이인증서 화일을 만들어서 줬는데 설치가 완벽하게 끝나고나서 이 만기일까지 사용한다면
나중에 또 같은 방식으로 인증서를 다시 요구해야되는건가요.
미국관리자가 자주 바뀔경우가 있다던데 이렇게된다면 매번 1년마다(만기일이 1년이더군요) 그쪽을 이해시키고 이와 같은 방법을 늘 해야되는건지 궁금합니다.

지금까지 읽어주셔서 감사드리고요.

여러정보들을 찾아보고 읽어보다보니 제가 정확히 이해를 하고있는지 또 몬가가 부족한지 계속 혼동이 오고있습니다.
정확한 정보보다는 많은 정보와 함께 이것저것 하다보니 정확한 이해를 하지를 못하고 있는게 현실입니다.

아참 왜 연결을 해야하냐라는 의문이 생기신다면 이부분은 xml관련해서 저희쪽에서 어떠한 정보를 php 이화일로 넘기면 그쪽에서도 어떠한 정보를 저희에게 보내줍니다.
이 어떠한 정보는 아직도 한번도 확인해보질않아서 xml관련해서 온다는것만 알고있습니다.

관련소스보다 이 전에 연결자체가 되지않고 있어서 질문을 드려봅니다. 또한 제가 정확히 이해를 하고 있는지 아니면 제 상황에서 이부분이 잘못되었다 모이런 가르침을 부탁드립니다.

답변주시면 감사드리겠습니다.

감사합니다.

우선, 상황을 정리해 볼까요?

한국 -> 미국 HTTPS (PHP)

이렇게 접근을 하고 있는데, 현재 미국 측 서버에서 다음과 같은 오류를 내고 있는 것이죠? ^^

A certificate is required to complete client authentication

원인은, "클라이언트 측 신분을 증명하는 인증서"를 서버에 제출하지 않았기 때문입니다.

이에 대해서 잠시 설명해 보면, 보통 HTTPS 서버는 다음과 같은 동작을 합니다.

접속 전: 미국 HTTPS (개인키, 공개키 인증서 CER 소유)
접속: 한국 -> 미국 HTTPS
      미국 HTTPS 서비스에서 한국 측으로 공개키 인증서 CER 을 내려주고,

이후 통신: 한국 -> (미국측의 CER 공개키를 이용하여 암호화) -> 미국 HTTPS 서버에서는 개인키로 복호화

위의 통신 과정은 지극히 정상입니다. pfx 파일은 미국측이 가지고 있어야 할 파일이지, 한국 측에 내려가서는 안됩니다. 한국 측에서는 공개키만 포함한 CER 만 있으면 되기 때문에 "You have a private key that corresponds to this certificate" 문구가 없는 것입니다.

그런데, 문제는? 미국 측의 HTTPS 설정이 한국 측, 즉 "클라이언트 측"의 인증서를 요구하고 있다는 점입니다. "A certificate is required to complete client authentication" 메시지가 바로 그것입니다.

즉, 이 문제를 해결하기 위해서는 오히려 한국 측에서 Verisign 등의 기관을 통해서 인증서를 받아야 하고, pfx 는 한국 서버에 설치하고 미국 측의 HTTPS 서비스를 호출하는 코드에 CER 인증서를 지정해 주어야 합니다. IIS 를 예로 들자면 다음과 같은 상황입니다.

Using Client Certificate Authentication with IIS 6.0 Web Sites
 - Configure the Web Site to Require a Client Certificate and use Basic Authentication
; http://www.windowsecurity.com/articles/Client-Certificate-Authentication-IIS6.html

IIS 7에서 클라이언트 측 인증서 사용시 주의점 
; https://www.sysnet.pe.kr/2/0/418

만약, 이것이 미국 측 HTTPS 서비스가 원하는 상황이 아니라면, 그냥 미국 측에서 (IIS 의 옵션에 비교하자면 "Require client certificates") 옵션을 꺼버리면 됩니다. 옵션을 끄는 방법은 PHP를 호스팅하는 WAS에 따라 다르겠고.

그럼, 이제 한국 측 서버에서 서비스를 받는 고객 측으로 넘어가 볼까요? 만약, 고객의 웹 브라우저가 한국 측 서버와만 통신을 하게 된다면 이런 경우 인증서 상으로 고객에게 요구되는 것은 없습니다. 그런데, 고객의 웹 브라우저에 내려가는 링크 중에서 미국 측 HTTPS 서비스를 직접 접속하게 되는 것이 있다면 고객도 동일하게 Verisign으로부터 인증서를 받아야 합니다. (이건 사실 말도 안되는 상황이죠.)

따라서, 정상적인 서비스를 위해서는 절대로 고객의 웹 브라우저에서 미국 측 HTTPS 서비스를 직접 연결하도록 해서는 안됩니다. 필요한 내용이 있다면, 전부 한국 측 HTTP 서버에서 중계를 해주어야 합니다.

마지막으로, 만기일에 대한 걱정인데요. 그 부분은 걱정하지 않으셔도 됩니다. 상호 간에 서비스가 계속되는 한 인증기관으로부터 연장을 받을 것이기 때문에 그런 부분은 자동으로 처리됩니다. 아마도 미국 측 HTTPS 서비스 담당자는 이에 익숙해져 있을 테니 상관없지만, 오히려 한국 측 HTTP 서버 담당자가 인증서 갱신을 잊어버릴 수도 있습니다. 만약 그렇게 되면, 만기일이 지나면서는 미국 측 HTTPS 서버에서 오류를 내뱉으며 서비스 제공을 하지 않을 것입니다.

[최초 등록일: 10/11/2010]
[최종 수정일: 10/11/2010]